Die von Microsoft zum 8. August 2023 für Exchange Server 2016/2019 veröffentlichten Sicherheitsupdates entwickeln sich auf nicht englischsprachigen Systemen zum Desaster.
Einerseits sollen die Sicherheitsupdates kritische Schwachstellen in Exchange schliessen, so dass die betreffenden Server abgesichert sind. Andererseits sorgen diese gleichen Sicherheitsupdates dafür, dass die Exchange-Instanz anschliessend defekt ist oder die Installation scheitert schlicht, so dass ein Rollback durchgeführt wird.
Inzwischen rät Microsoft von der Installation der August 2023-Sicherheitsupdates für Exchange Server 2016/2019 auf nicht englischsprachigen Systemen ab.
Updates für Exchange Server 2016/2019
Am 8. August 2023 hat Microsoft die Sicherheitsupdates für Exchange Server 2016/2019 freigegebenen
Es stehen die Sicherheitsupdates
• Exchange Server 2016 CU23
• Exchange Server 2019 CU12 und CU13
zur Verfügung, die u.a. nachfolgende Schwachstellen schliessen sollen (eine Liste aller CVEs, die im August 2023 geschlossen wurden, findet sich unter Microsoft Security Update Summary (8. August 2023)).
• CVE-2023-21709: EoP Schwachstelle in Microsoft Exchange Server; CVEv3 Score 9.8, important; Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er versucht, das Passwort für gültige Benutzerkonten zu erzwingen. Bei erfolgreicher Ausnutzung (als wenig wahrscheinlich eingestuft) könnte sich der Angreifer „als ein anderer Benutzer anmelden“.
• CVE-2023-38181, CVE-2023-38185, CVE-2023-35368, CVE-2023-38182, CVE-2023-35388, Microsoft Exchange Server Schwachstellen; CVEv3 Score 8.0 – 8.8, important; Ein authentifizierter Angreifer kann durch Ausnutzung dieser Schwachstellen (als wenig wahrscheinlich eingestuft) Code über eine PowerShell-Remoting-Sitzung ausführen. Um diese Schwachstelle erfolgreich auszunutzen, müsste der Angreifer zunächst über LAN-Zugang und gültige Anmeldeinformationen für einen Exchange-Benutzer verfügen.
Microsoft empfahl, diese Sicherheitsupdates zeitnah zu installieren, auch wenn noch keine Ausnutzung (in the wild) beobachtet werden konnte. Allerdings scheint Microsoft diese Sicherheitsupdates nur unzureichend auf Systemen mit nicht englischsprachiger Oberfläche getestet zu haben.